La pratique trop courante consistant à utiliser la même combinaison adresse e-mail/mot de passe pour se connecter à plusieurs sites Web peut être dommageable, en particulier pour les employeurs avec de nombreux utilisateurs et des actifs précieux protégés par des mots de passe, comme les universités.

"Si quelqu'un utilise l'adresse e-mail et la phrase secrète de son université pour s'inscrire, dire, LinkedIn, et LinkedIn est piraté par des cybercriminels, cela signifierait que leur mot de passe universitaire est sur le Web pour que tout le monde puisse le voir, " a déclaré Dan Calarco de l'Université de l'Indiana, co-auteur d'un nouvel article qui examine la pratique de la réutilisation des mots de passe.

Mais les chercheurs de l'IU ont découvert un moyen simple de déjouer les criminels qui tentent de pénétrer dans les données universitaires.

« Nous avons constaté qu'exiger des mots de passe plus longs et plus compliqués réduisait la probabilité de réutilisation des mots de passe, " les auteurs écrivent dans le journal, Facteurs influençant la réutilisation des mots de passe :une étude de cas . Les auteurs sont Jacob Abbott, un doctorat de l'UI Bloomington. étudiant; Daniel Calarco, chef de cabinet du bureau du vice-président de l'UI pour l'informatique et le DSI ; et L. Jean Camp, professeur à l'IU Bloomington School of Informatics, Informatique et Ingénierie. Le groupe a présenté ses conclusions le 21 septembre à la TPRC46 :Research Conference on Communications, Information et politique Internet à Washington, D.C.

Pour étudier l'impact de la politique sur la réutilisation des mots de passe, l'étude a analysé les politiques de mot de passe de 22 universités américaines différentes, y compris leur établissement d'origine, UI. Prochain, ils ont extrait des ensembles d'e-mails et de mots de passe à partir de deux grands ensembles de données publiés en ligne et contenant plus de 1,3 milliard d'adresses e-mail et de combinaisons de mots de passe. Sur la base d'adresses e-mail appartenant au domaine d'une université, les mots de passe ont été compilés et comparés à la politique de mot de passe officielle d'une université.

Les résultats étaient clairs :des règles de mot de passe strictes réduisent considérablement le risque de violation de données personnelles d'une université.

"Notre article montre que les exigences de phrase secrète telles qu'une longueur minimale de 15 caractères dissuadent la grande majorité des utilisateurs d'IU (99,98 %) de réutiliser des mots de passe ou des phrases secrètes sur d'autres sites, " écrivent-ils. " D'autres universités avec moins d'exigences de mot de passe avaient des taux de réutilisation potentiellement aussi élevés que 40 pour cent. étaient réellement valides ; au lieu de cela, ils ont examiné si les mots de passe pouvaient potentiellement être valides compte tenu des exigences de mot de passe public telles que la longueur du mot de passe, complexité et d'autres exigences.

"IU a travaillé avec des professeurs de sécurité et de convivialité pour concevoir nos politiques de mot de passe, avec pour résultat des politiques qui valorisent le temps des gens tout en atténuant les risques, " Camp a déclaré. " La longueur et la complexité sont compensées par la période prolongée avant que de nouveaux mots de passe doivent être générés et l'utilisation d'une fenêtre de temps d'authentification plus longue pour les applications. Le déploiement de l'authentification à deux facteurs par l'Université de l'Indiana est également un modèle."

Les auteurs proposent les recommandations suivantes pour protéger les mots de passe :

1. Augmentez la longueur minimale du mot de passe au-delà de 8 caractères.
2. Augmentez la longueur maximale du mot de passe.
3. Interdisez le nom ou le nom d'utilisateur de l'utilisateur dans les mots de passe.
4. Envisagez l'authentification multifacteur.

L'authentification multifacteur est de plus en plus courante et utilisable. UI, par exemple, utilise la connexion en deux étapes. Avec les avantages potentiels de réduire le risque de réutilisation des mots de passe, l'authentification multifacteur peut être une alternative viable à la modification de la longueur et/ou de la complexité des politiques de mot de passe.

"Nos recommandations ne s'appliquent pas seulement aux universités, mais peut également être utilisé par d'autres organisations, services ou applications, " ils écrivent.